理解してるつもりの SSL/TLS でも、もっと理解したら面白かった話 · けんごのお屋敷
apache や nginx の設定をしたことがあれば以下の様な行を見たことがある人も多いのではないでしょうか。(※ 下記は nginx の設定。apache の場合は SSLCipherSuite です。) ssl_ciphers AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5; これが暗号スイートを指定している箇所です。そしてこの部分、わけのわからない文字列の羅列なのですごく取っつきにくくて何を指定したらいいかわからないので、コピペしてしまう人も多いんじゃないでしょうか。かくいう私も数年前に趣味で TLS 対応の Web サービスを作った時はコピペで済ませていました。この暗号スイートは、以下のような OpenSSL のコマンドを使って対応している一覧を見ることができます。 $ openssl ciphers -v AES128-SH
サーバーのSSL/TLS設定のツボ - Internet Week 2014 セッションS14
Internet Week 2014 セッションS14 サーバーのSSL/TLS設定のツボ (配布資料) 2014年11月20日(木) 13:45-14:15 於:富士ソフトアキバプラザ 漆嶌 賢二 本文中の登録商標および商標はそれぞれの所有者に帰属します。 富士ゼロックス株式会社 SkyDeskサービスセンター 漆嶌賢二 © 2014 Fuji Xerox Co., Ltd. All rights reserved. © 2014 Fuji Xerox Co., Ltd. All rights reserved. 1 時期 問題・事件 対策 2005.11 OpenSSL SSLv2バージョンロールバック アップデート 2009.01 RapidSSL MD5衝突偽造中間CA アップデートやPinning 2009.07 NULL終端による証明書ホスト名一致不備 アップデートやPinni
ざっくりSSL/TLS
# ざっくりSSL/TLS 2018/02/05 セキュリティ 最近おしごとがインフラ屋さんではなくセキュリティ屋さん的な様相を帯びてきました。その中でも、暗号技術について「これはつかっちゃだめ、これを使いなさい」程度のことは言えるけど、それがなぜなのかはあんまり自信を持って言えなかったのが昨年末くらいの悩みでした。ちょっと勉強したのでまとめます。間違いが多々ありそうなので随時更新予定。 # SSL/TLSとは Secure Sockets LayerないしはTransport Layer Security。トランスポート層とアプリケーション層の狭間のプレゼンテーション層に存在する暗号化プロトコル。狭間なので既存のTCP/IPプロトコルスタックの上下を変更しなくていいのが強み。既存のAPの通信の暗号化も比較的簡単で、FW制御もしやすい。そのかわり、より低階層で暗号化を行うプロトコル、例えば
サーバーが設定しているSSL暗号を確認したい時 - Qiita
突然ですが、SSLの暗号の設定を諸事情により変更する事があると思います。 例えば、2015/2 RFC7456で、RC4が禁止となった等 サーバーのSSLの暗号の設定変更を行った後、外部からの確認方法に迷っていたのを思い出したので、備忘録がてら。 先に設定方法も記載しておくので、確認方法のみで良い場合は、確認方法の項へ サーバー側の設定 設定に関しては、例として、RC4を外していく事を想定して記載しています。 ELBを利用している場合 AWSコンソールから以下のように辿り、RC4を利用しないポリシーを選択するか、カスタムポリシーからRC4のチェックを外す EC2 -> Load Balancers -> 変更したいELB -> Listenersタブ -> Cipherの項にあるChange Policyの変更 Policyの変更 Predefined Security Policyの場合
Check Website Security | DigiCert SSLTools
Check SSL Certificate installation and scan for vulnerabilities like DROWN, FREAK, Logjam, POODLE and Heartbleed.
httpdの設定(ssl.conf)
httpdの設定(ssl.conf) [サーバの実験室 Slackware] 作成 : 2003/11/02 "サーバの実験室"の検索 SSL の設定 SSL の設定は httpd.conf に書いてもよいが、別のファイルに SSL 関連のディレクティブをまとめて記述し、httpd.conf から Include ディレクティブを使用してファイルを読み込むこともできる。 Include conf/ssl.conf デフォルトの ssl.conf に記述されているディレクティブについて、順に見ていく。 (重複するものは省略) デフォルトの ssl.conf <IfDefine> 〜 </IfDefine> [core モジュール] httpd を起動するとき -D でパラメータが指定されていれば、<IfDefine> と </IfDefine> で囲まれたディレクティブを有効にする。 次の例
CentOS7.2 64bit OpenSSLを使用して自己認証局で署名したSSLクライアント証明書を作成 | kakiro-web カキローウェブ
外部に公開しているWebサイト等でアクセス制限を行いたい場合、ユーザーIDとパスワードの入力による認証や、ファイアウォールを使用してアクセス元のIPアドレスによる制限を行うこともできますが、SSLクライアント証明書を使用することで、特定の証明書を所有する端末からのアクセスのみを許可するように制限することができます。 ここでは、CentOS7.2の標準リポジトリからインストールできるOpenSSL1.0.1eを使用して、自己認証局で署名したSSLクライアント証明書を作成する方法を、以下に示します。 ※当サイトのSSLサーバー証明書の作成に関するページでも、SSLについて記載しています。CentOS7 64bit OpenSSLを使用して秘密鍵、CSRを作成し、自己署名のSSLサーバー証明書を作成のページ、CentOS7 64bit OpenSSLを使用して秘密鍵と自己署名のSSLサーバー証明
オレオレ認証局でSSLクライアント認証しようとしたら、色々ハマったから手順をまとめた - 死ぬまでの暇潰し
表題の通りです。 以前、自前で認証局たててSSL環境作ってクライアント認証しようとしました。 情報はググれば結構見つかって、それらを参照しながら 特に詰まる事無く各証明書作成を完了したんですが、 いざ導入しようとしたら、いろんなエラーに遭遇して上手くいかず、 試行錯誤の末、環境構築に成功し、現在は上手く動作しています。 その頃はブログも書いていなくて、情報もまとめてなかったんですが、 定期的に作業が必要になる度に思い出すのに手間取ったり、 新しく環境構築することになったりし始めたので、 自分なりに以前色々調べて把握したことを元に、手順をまとめてみました。 構築した環境 CentOS5または6でopensslを使って、/etc/pki配下に自前のSSL環境を作り、 サーバのSSL通信およびクライアント認証を導入しました。 CAは10年、サーバ/クライアントは1年毎に証明書更新することにしまし
自堕落な技術者の日記 : Amazon AWSの認証局が少し怪しい件 - livedoor Blog(ブログ)
Amazon AWSのELBとCloudFrontで使えるらしい、無料の証明書発行サービスで、AWS Certificate Manager(ACM)というのがあるそうです。([参考1])。ちょっと気になったきっかけはJavaからHTTPSで繋ぐと検証失敗するケースがあった はてブを垂れ流すだけのフレンズ@matsuuん?これJRE同梱のルート証明書にACMのルート証明書が含まれてなかったってことか。どのバージョンから対応してるんだろ。決済連携などで決済会社の環境が古くてACMが使えないパターンありそう。 / “JavaクライアントからAWS…” https://t.co/pf9J6QRSTD 2017/04/30 11:57:07 というので、ちょっと見始めたらドツボにはまったので、少しメモを書き残しておこうかとおもいます。 ACMの証明書を使ったサイトにブラウザで繋いでみると、、、 J
Let's EncryptのSSL証明書を使ってお手軽HTTP/2対応 - Qiita
最近はRails芸人というよりAWS芸人っぽくなってきたすろっくさんです。仕事でコード書くんですが、なぜかWAF使う機会ががっつりと減ってしまいましたイタタタ。 ところで無料でSSL証明書をくれるLet's Encryptがオープンベータになりました。さっそくなので、これを使って自分のサイトをHTTP/2対応してみましょう! 詳しい資料はこちらの方のが便利です。 HTTP/2入門 さてやっていきます。 我が家の構成はLB <-> nginx <-> PHPですが、この場合PHPはあまりでてこないです。 ネットワーク構成の設定を確認 Let's Encryptは証明書を取得するときに80番ポートと443番ポートを使うサーバを立ち上げます。つまり両方落ちてないとダメなわけです。Webサーバダウンさせないといけないわけですねー。 とはいえ、その直前で切れていたら元も子もないので、443と80のポ
Secure Sockets Layer - Wikipedia
TLSは特定のアプリケーション層プロトコルに依存しないため、HTTP以外にも多くのプロトコルにおいて採用され、クレジットカード情報や個人情報、その他の機密情報を通信する際の手段として活用されている。 既存のアプリケーション層プロトコルでTLSを利用する場合、大きく2つの適用方式が考えられる。まずひとつは、下位層(通常はTCP)の接続を確立したらすぐにTLSのネゴシエーションを開始し、TLS接続が確立してからアプリケーション層プロトコルの通信を開始する方式である。もうひとつは、まず既存のアプリケーション層プロトコルで通信を開始し、その中でTLSへの切り替えを指示する方式である。切り替えコマンドとしてSTARTTLSが広まっているため、この方式自体をSTARTTLSと呼ぶこともある。 前者はアプリケーション層のプロトコルをまったく変更しなくてすむことが利点である。その反面、平文で接続を開始する
websec-room.com - websec room リソースおよび情報
This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.
Archived MSDN and TechNet Blogs
If you were looking for MSDN or TechNet blogs, please know that MSDN and TechNet blog sites have been retired, and blog content has been migrated and archived here. How to use this site Archived blogs are grouped alphabetically by the initial letter of the blog name. Select the initial letter from the TOC to see the full list of the blogs. You can also type the name of the blog or the title of the
携帯電話とSSLルート証明書
おことわり DoCoMo, SoftBank, auの3キャリアの携帯電話端末にインストールされているルート証明書について述べる。 言うまでもなくこの文書は無保証。猛犬注意。濡れていて滑ります。 SSL非対応端末は相手しません。 せっかちな人はまとめからどうぞ。 DoCoMo DoCoMo提供の資料を見ればわかる。端末には3種類ある。 SSL対応全PDC端末およびFOMA 2001/2002/2101V/2051/2102V/2701/900iシリーズにインストールされているのは以下の5つ。 VeriSign Class 3 Primary CA VeriSign Class 3 Primary CA G2 Verisign/RSA Secure Server CA GTE CyberTrust Root GTE CyberTrust Global Root FOMA901i/700i/8
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
